Che cos’è un attacco DDoS?
Un attacco DDoS (Distributed Denial of Service) si verifica quando un attaccante, o attaccanti, tenta di rendere impossibile l’erogazione di un servizio. Ciò può essere ottenuto ostacolando l’accesso praticamente a qualsiasi cosa: server, dispositivi, servizi, reti, applicazioni e persino transazioni specifiche all’interno delle applicazioni. In un attacco DoS, è un sistema che invia dati o richieste dannosi; un attacco DDoS proviene da più sistemi.
In genere, questi attacchi funzionano annegando un sistema con richieste di dati. Questo potrebbe essere l’invio di un server Web così tante richieste per servire una pagina che si blocca sotto la richiesta, o potrebbe essere un database colpito con un elevato volume di query. Il risultato è la larghezza di banda disponibile su Internet, la capacità della CPU e della RAM viene sopraffatta.
L’impatto potrebbe variare da una seccatura minore ai servizi interrotti alla fruizione di interi siti Web, applicazioni o persino interi business portati offline.
Video correlato: segnali di avvertimento precoce di un attacco DDoS
3 tipi di attacchi DDoS
Esistono tre classi principali di attacchi DDoS:
- Gli attacchi basati sul volume utilizzano enormi quantità di traffico fasullo per sopraffare una risorsa come un sito Web o un server. Includono attacchi di inondazioni ICMP, UDP e pacchetti contraffatti. La dimensione di un attacco basato sul volume viene misurata in bit al secondo (bps).
- Gli attacchi DDoS a livello di protocollo o di rete inviano un gran numero di pacchetti a infrastrutture di rete mirate e strumenti di gestione dell’infrastruttura. Questi attacchi di protocollo includono inondazioni SYN e Puffo DDoS, tra gli altri, e le loro dimensioni sono misurate in pacchetti al secondo (PPS).
- Gli attacchi a livello di applicazione vengono condotti inondando le applicazioni con richieste dannose. La dimensione degli attacchi a livello di applicazione viene misurata in richieste al secondo (RPS).
Per ogni tipo di attacco, l’obiettivo è sempre lo stesso: rendere le risorse online lente o completamente non rispondenti.
Sintomi di attacco DDoS
Gli attacchi DDoS possono apparire come molte delle cose non dannose che possono causare problemi di disponibilità, come un server o un sistema inattivo, troppe richieste legittime da parte di utenti legittimi o persino un cavo tagliato. Richiede spesso un’analisi del traffico per determinare cosa sta accadendo con precisione.
Una sequenza temporale di attacchi DDoS
Un’ attacco che avrebbe cambiato per sempre il modo in cui gli attacchi DDOS. All’inizio del 2000, lo studente delle superiori canadesi Michael Calce, alias MafiaBoy, ha colpito Yahoo! con un attacco DDoS (Distributed Denial of Service) è riuscito a chiudere uno dei principali siti Web del tempo. Nel corso della settimana che seguì, Calce prese la mira e interruppe con successo altri siti come Amazon, CNN ed eBay.
Certamente non il primo attacco DDoS, ma quella serie di attacchi altamente pubblici e di successo ha trasformato per sempre attacchi denial of service da novità e lievi fastidi a potenti distruttori nelle menti di CISO e CIO.
Da allora, gli attacchi DDoS sono diventati una minaccia fin troppo frequente, poiché sono comunemente usati per vendicarsi, condurre estorsioni, come mezzo di attivismo online e persino per scatenare la guerra cibernetica.
Sono anche diventati più grandi nel corso degli anni. A metà degli anni ’90, un attacco avrebbe potuto consistere in 150 richieste al secondo – e sarebbe bastato far crollare molti sistemi. Oggi possono superare i 1.000 Gbps. Ciò è stato in gran parte alimentato dalla vastità delle moderne botnet.
Nell’ottobre 2016, il provider di servizi di infrastruttura Internet Dyn DNS (Now Oracle DYN) è stato bloccato da un’ondata di query DNS da decine di milioni di indirizzi IP. Quell’attacco, eseguito attraverso la botnet Mirai , avrebbe infettato oltre 100.000 dispositivi IoT, tra cui telecamere IP e stampanti. Al suo apice, Mirai ha raggiunto 400.000 robot. I servizi inclusi Amazon, Netflix, Reddit, Spotify, Tumblr e Twitter sono stati interrotti.
All’inizio del 2018 ha iniziato a emergere una nuova tecnica DDoS. Il 28 febbraio, il servizio di hosting di controllo versione GitHub è stato colpito da un massiccio attacco denial of service , con 1,35 TB al secondo di traffico che ha colpito il popolare sito. Sebbene GitHub sia stato eliminato offline in modo intermittente e sia riuscito a respingere completamente l’attacco dopo meno di 20 minuti, la vastità dell’assalto era preoccupante, poiché superava l’attacco Dyn, che aveva raggiunto il picco a 1,2 TB al secondo.
Un’analisi della tecnologia che ha guidato l’attacco ha rivelato che era in qualche modo più semplice di altri assalti. Mentre l’attacco Dyn era il prodotto della botnet Mirai , che richiedeva malware per infestare migliaia di dispositivi IoT, l’attacco GitHub ha sfruttato i server che eseguivano il sistema di memorizzazione nella memoria Memcached, che può restituire blocchi di dati molto grandi in risposta a semplici richieste.
Memcached è pensato per essere utilizzato solo su server protetti in esecuzione su reti interne e generalmente ha poca sicurezza per impedire agli aggressori malintenzionati di falsificare gli indirizzi IP e inviare enormi quantità di dati a vittime ignare. Sfortunatamente, migliaia di server Memcached sono seduti su Internet aperto e c’è stato un enorme aumento nel loro uso negli attacchi DDoS. Dire che i server sono “dirottati” è a malapena equo, poiché invieranno allegramente pacchetti ovunque vengano detti senza fare domande.
Pochi giorni dopo l’attacco di GitHub, un altro attacco DDoS basato su Memecached si è schiantato contro un fornitore di servizi USA con 1,7 TB al secondo di dati.
Video correlato: l’attacco Dyn DDoS un anno dopo
La botnet Mirai è stata significativa in quanto, a differenza della maggior parte degli attacchi DDoS, ha sfruttato i dispositivi IoT vulnerabili piuttosto che PC e server, è particolarmente spaventoso se si considera che entro il 2020, secondo BI Intelligence, ci saranno 34 miliardi di dispositivi connessi a Internet e la maggior parte (24 miliardi) saranno dispositivi IoT.
Sfortunatamente, Mirai non sarà l’ultima botnet basata su IoT. Un’indagine tra i team di sicurezza di Akamai, Cloudflare, Flashpoint, Google, RiskIQ e Team Cymru ha scoperto una botnet di dimensioni simili , soprannominata WireX, composta da 100.000 dispositivi Android compromessi in 100 paesi. Una serie di grandi attacchi DDoS che hanno preso di mira i fornitori di contenuti e le reti di distribuzione dei contenuti hanno spinto le indagini.
Il 21 giugno 2020, Akamai ha riferito di aver mitigato un attacco DDoS a una grande banca europea che ha raggiunto il picco di 809 milioni di pacchetti al secondo (Mpps), il più grande volume di pacchetti di sempre. Questo attacco è stato progettato per sopraffare gli apparati di rete e le applicazioni nel data center del target inviando miliardi di piccoli pacchetti (29 byte inclusa l’intestazione IPv4).
I ricercatori di Akamai hanno affermato che questo attacco è unico a causa del gran numero di indirizzi IP di origine utilizzati. “Il numero di IP di origine che ha registrato il traffico verso la destinazione del cliente è aumentato sostanzialmente durante l’attacco, indicando che era altamente distribuito in natura. Abbiamo visto verso l’alto di 600 volte il numero di IP di origine al minuto, rispetto a ciò che normalmente osserviamo per questo cliente destinazione “, hanno osservato i ricercatori.
Gli attacchi DDoS oggi
Mentre il volume degli attacchi DDoS è oscillato nel tempo, sono ancora una minaccia significativa. Kaspersky Labs riferisce che il numero di attacchi DDoS per il secondo trimestre del 2019 è aumentato del 32% rispetto al terzo trimestre del 2018, principalmente a causa di un picco di attacchi a settembre.
Le botnet scoperte di recente come Torii e DemonBot in grado di lanciare attacchi DDoS sono una preoccupazione, secondo Kaspersky. Torii è in grado di rilevare una vasta gamma di dispositivi IoT ed è considerato più persistente e pericoloso di Mirai. DemonBot dirotta i cluster Hadoop, che gli danno accesso a più potenza di calcolo.
Un’altra tendenza allarmante è la disponibilità di nuove piattaforme di lancio DDoS come 0x-booter. Questo DDos-as-a-service sfrutta circa 16.000 dispositivi IoT infettati dal malware Bushido, una variante Mirai.
Un rapporto DDoS di Imperva ha rilevato che la maggior parte degli attacchi DDoS nel 2019 erano relativamente piccoli. Ad esempio, gli attacchi a livello di rete in genere non superavano i 50 milioni di PPS. Gli autori del rapporto lo hanno attribuito ai servizi DDoS a noleggio, che offrono attacchi illimitati ma piccoli. Imperva ha visto alcuni attacchi molto grandi nel 2019 tra cui un attacco a livello di rete che ha raggiunto 580 milioni di PPS e un attacco a livello di applicazione che ha raggiunto il picco a 292.000 RPS e è durato 13 giorni.
Strumenti di attacco DDoS
In genere, gli aggressori DDoS fanno affidamento su botnet, raccolte di una rete di sistemi infetti da malware controllati a livello centrale. Questi endpoint infetti sono generalmente computer e server, ma sono sempre più IoT e dispositivi mobili. Gli aggressori raccoglieranno questi sistemi identificando i sistemi vulnerabili che possono infettare attraverso attacchi di phishing, attacchi di malvertising e altre tecniche di infezione di massa. Sempre più spesso gli attaccanti affittano anche queste botnet da coloro che le hanno costruite.
Come si evolvono gli attacchi DDoS
Come accennato brevemente sopra, sta diventando più comune che questi attacchi siano condotti da botnet noleggiate. Aspettatevi che questa tendenza continui.
Un’altra tendenza è l’uso di più vettori di attacco all’interno di un attacco, noto anche come APDoS Denial-of-Service persistente avanzato. Ad esempio, un attacco APDoS può coinvolgere il livello dell’applicazione, come attacchi contro database e applicazioni, nonché direttamente sul server. “Questo va oltre la semplice” inondazione “”, afferma l’attacco Chuck Mackey, amministratore delegato del successo dei partner di Binary Defense.
Inoltre, spiega Mackey, gli aggressori spesso non solo prendono di mira direttamente le loro vittime, ma anche le organizzazioni da cui dipendono, come gli ISP e i fornitori di cloud. “Si tratta di attacchi di vasta portata e di grande impatto ben coordinati”, afferma.
Questo sta anche cambiando l’impatto degli attacchi DDoS sulle organizzazioni e aumentando il loro rischio. “Le aziende non si occupano più solo degli attacchi DDoS su se stessi, ma degli attacchi al vasto numero di partner commerciali, venditori e fornitori su cui fanno affidamento tali aziende”, afferma Mike Overly, avvocato di sicurezza informatica presso Foley & Lardner LLP. “Uno dei più vecchi adagi in termini di sicurezza è che un’azienda è tanto sicura quanto il suo anello più debole. Nell’ambiente odierno (come evidenziato dalle recenti violazioni), il collegamento più debole può essere, e spesso è, una delle terze parti “, afferma.
Naturalmente, poiché i criminali perfezionano i loro attacchi DDoS, la tecnologia e le tattiche non si fermeranno. Come spiega Rod Soto, direttore della ricerca sulla sicurezza di JASK, l’aggiunta di nuovi dispositivi IoT, l’ascesa dell’apprendimento automatico e l’intelligenza artificiale avranno tutti un ruolo nel modificare questi attacchi. “Gli aggressori alla fine integreranno anche queste tecnologie negli attacchi, rendendo più difficile per i difensori mettersi al passo con gli attacchi DDoS, in particolare quelli che non possono essere fermati da semplici ACL o firme. La tecnologia di difesa DDoS dovrà evolversi anche in quella direzione ”, afferma Soto.
About Author
